Работа по стабилизации Gnome на Wayland

это не кейлогер

This is a proof-of-concept Wayland keylogger that I wrote to demonstrate the fundamental insecurity of a typical Linux desktop

just put the library somewhere in your home folder and LD_PRELOAD it from ~/.profile

Кейлогер так кейлогер. Спасибо что хоть компилять не надо.

Это не в Wayland. Если я LD_PRELOAD’ну функции OpenSSL и буду пересылать твои приватные ключи себе на сервер тоже будешь верещать о небезопасности Wayland или OpenSSL?

Ещё раз – покажи мне возможность доступа из одного Wayland-приложения к кнопкам другого Wayland-приложения, как это позволяет решето с названием X.Org

This is a proof-of-concept LD_PRELOAD keylogger that I wrote to demonstrate the fundamental insecurity of a typical Linux desktop

Fixed.

так кейлогер работает или нет? вот тут человек говорит например, что кейлогеры куда-то уйдут, а тут вдруг оказывается, что кейлогер работает даже без рута. ну давай я его тебе скомпиляю если хочешь, мне не трудно.

шла середина 2019 года...

17.05.19 12:46:49

Весна заканчивается. Скоро наступит лето. А лето - это пора отпусков...

Ещё раз – покажи мне возможность доступа из одного Wayland-приложения к кнопкам другого Wayland-приложения

Так для вяленого это непосильная задача? Хм, с этим чрезвычайно легко справляются все остальные оконные системы.

Стыд-то какой.

так кейлогер работает или нет?

Если не подгрузить ее через LD_PRELOAD, то не работает.

вот тут человек говорит например, что кейлогеры куда-то уйдут, а тут вдруг оказывается, что кейлогер работает даже без рута.

Все правильно говорит он.

Если не подгрузить ее через LD_PRELOAD, то не работает.

а если подгрузить его через LD_PRELOAD?

А если яйца засунуть в дверной проем и со всех сил закрыть дверь?

судя по тому как ты извиваешься, думаю должен получиться эффект подобный кейлогеру под вяленый

Unity стабилен. 16.04 очень даже стабилен. Так что страдайте гномовцы.

Сами разработчики гномом на вайланде не пользуются, а нам предлагают? И раньше это никто хоть как то не тестировал? Раз возникло столько ошибок

Можешь думать что угодно. Подгрузка через LD_PRELOAD имеет такое же отношение к кейлогерам как rm -rf к вирусам.

Драйверы для вибратора завезли?

В RHEL уже Wayland по дефолту.

И я про что…

Сначала делаем дефолтом, а потом правим косяки.

Драйверы для вибратора завезли?

Какого? Это больше про иксы – там кучи драйверов понапихано. В итоге такой переусложненный кусок.

это не кейлогер

Тогда что это, если сам автор пишит, что, цитата:

This is a proof-of-concept Wayland keylogger that I wrote to demonstrate the fundamental insecurity of a typical Linux desktop that lacks both sandboxing (chroot, cgroups, ...) and mandatory access control (SELinux). The keylogger requires nothing but user-level access to be installed.

там кучи драйверов понапихано.

А что, в wayland нету драйверов?

Это то только вендо-иксах всякая шняга уровня драйверов монитора.

Тогда что это, если сам автор пишит, что, цитата: \

Это LD_PRELOAD кейлоггер. Демонстрирует, что не смотря на то, что вейланд закрывает одну дыру, в решете под названием линукс есть и другая.

Для закрытия другой дыры делают flatpak/snap.

Давайте сначала выпустим rhel8 с вяленым по дефолту

Уже выпустили. Читай тут. Внедрили в продакш....тут одно из двух: или они там все с ума посходили, или банально пихают не стабильный продукт...но ничего, скоро начнется. Bugzilla@redhat начнет трешать по швам.

Это LD_PRELOAD кейлоггер.

Ясно Спасибо.

Пофиксят. Не хотят через пару лет, тащить легаси еще в течении 8 лет

драйверов монитора.

Я не это имел в виду.

Пофиксят.

Тут спору нету, но работы там-хоть пруд пруди...

Извиняюсь, не понял иронии.

Потому, ято уже не понятно, где смеяться. Массово выпиливают код из кернела, выкидывают все фс (даже не сохраняя совместимости), звменяя их проектом Stratis, который официально не содержит никакой функциональности.

Слишком радикальный поворот, в общем.

Раз два человека неверно истолковали мой коммит - посыпаю голову пеплом.

посыпаю голову пеплом.

Принято :)

С 29-й версии Fedora использую wayland и сейчас с 30-й firefox on wayland. DE, конечно же, GNOME 3 - всё работает стабильно. Что нужно сделать, чтобы стабильность закончилась?

периодически меняющимися API в одной ОС — выглядит как говноедство

Linux до появления DRM/KMS никакого API кроме примитивного fbdev фактиески не предоставлял. Иксовые драйверы графических карт мапили в пространство пользователя аппаратные ресурсы и работали с ними напрямую.

Ещё раз – покажи мне возможность доступа из одного Wayland-приложения к кнопкам другого Wayland-приложения, как это позволяет решето с названием X.Org

Добавляешь LD_PRELOAD с wayland-keylogger в ~/.profile, владелец же текущий пользователь, получаешь доступ Polugnom

Со свободной записью в ~/.profile и LD_PRELOAD тебе не нужен кейлоггер, можешь сразу овнить пользователя как хочешь.

Писец, хоть стой хоть падай с этими лоровскими спецами.

Добавляешь LD_PRELOAD

сейчас часто статически собирают код

Со свободной записью в ~/.profile и LD_PRELOAD тебе не нужен кейлоггер, можешь сразу овнить пользователя как хочешь.

Что не так? Спросили способ доступа

возможность доступа из одного Wayland-приложения к кнопкам другого Wayland-приложения

я его сказал. ~/.profile доступно на запись пользователю.

Давай я тебе расскажу еще об одной уязвимости. Можно подредактировать .desktop файлик хрома, и вместо отрытия лорчика у тебя сотрутся файлы в хомяке.

Добавляешь LD_PRELOAD с wayland-keylogger в ~/.profile, владелец же текущий пользователь, получаешь доступ

А ещё в ~/.profile можно rm -Rf ~/ добавить.

Совершенно верно. Но мы уклонились от изначального аргумента. Получается wayland не предоставляет безопасности в плане перехвата ввода.

У тебя перехват за пределами вейланда.

Да и вообще вейланд приложение может не только перехватить ввод другого приложения, но и rm -Rf ~/ сделать напрямую, никуда ничего не добавляя. Ужос

У тебя перехват за пределами вейланда.

да начхать

Получается wayland не предоставляет безопасности в плане перехвата ввода.

Wayland – предоставляет. А вот Linux – нет. Хаки через LD_PRELOAD это не Wayland-специфичная мишура.

P.S. И вообще грамотный админ по идее должен срубить все эти LD_PRELOAD, например, флагом noexec на ~/, /tmp и в прочие края, куда может дотянуться какер.

Разумеется не может, в нормально защищённой системе.

Начхать на клоунов, оставивших подкоп и обход но обвиняющих в этом забор.

Назовите мне нормально защищенную десктоп систему, где это из коробки.

сейчас часто статически собирают код

посмотри исходники. это настоящий кейлогер который перехватывает вяленый протокол и логирует все нажатия клавиш. это не подмена динамической библиотеки.

Анон, дело не в том, кто кого в чем обвиняет, дело в том, что аргумент типа «в линуксе одно вейланд приложение не может перехватить ввод другого» не соответствует действительности.

да начхать

Ну раз начхать, то тогда и:

cat /dev/input/event3 | hexdump -C

Кейлоггер, от которого (О УЖАС!) Wayland не защищает!

Кисик, тебе зочем?

это настоящий кейлогер который перехватывает вяленый протокол и логирует все нажатия клавиш. это не подмена динамической библиотеки.

Ты наркоман?